📌 RDS - Backups / Restore options / Aurora DB cloning

RDS 서비스에는 두 가지 Backup 을 지원한다. 그 종류에는 자동화 백업, 수동 DB 스냅샷으로 분류된다. Aurora 는 일반 RDS 와 차이를 두기 때문에 따로 정리를 하겠다.

자동화 백업

RDS 서비스가 자동으로 매일 데이터베이스의 데이터베이스 백업 기간 동안 전체 백업을 수행한다. 가장 빠른 백업은 5분전의 백업이다. 즉 , 5분마다 트랜잭션 로그가 백업되고 자동 백업을 통해 언제라도 5분 전으로 복원할 수 있다 . 자동 백업 보존 기간은 1 ~ 35일 기간 사이로 설정할 수 있다. 이 기능을 사용하지 않으려면 0으로 설정하여 자동 백업을 사용하지 않도록 설정할 수 있다

Aurora

마찬가지로 1일에서 35일 까지 가능하지만 비활성화의 기능이 없다는 점에서 일반 RDS와 차이를 둔다. 시점 복구 기능(point-in-time) 이 있어 5분이 아닌 해당 기간의 어느 시점으로든 복원할 수 있다.

수동 DB 스냅샷

사용자가 수동으로 트리거 하는 백업으로 이 방법의 장점은 수동으로 한 백업은 원하는 기간 동안 유지할 수 있다는 점이다. 자동 백업 같은 경우 보존 기간의 만료가 있지만 수동 DB 스냅샷은 원하는 기간 동안 보관할 수 있다. 만약 RDS DB 중 한 달에 2시간만 사용하는 DB가 있다고 가정하자. DB 는 중지한다고 하더라도 스토리지 비용은 계속 지불해야한다. 이럴 경우 2시간 동안 사용 후 스냅샷을 만든 다음 원본 DB를 삭제하고, 사용을 희망할 때 스냅샷으로 DB를 복원하면 비용을 절감할 수 있다.

Aurora

마찬가지로 사용자가 수동으로 트리거할 수 있으며 원하는 기간 동안 유지할 수 있고, 수동 DB 스냅샷의 경우 일반 DB와 동일하므로 생략하도록 하겠다.

백업 옵션

스냅샷으로 부터 복원하기 - 자동화된 백업이나 수동 스냅샷을 복원할 때마다 새 데이터베이스가 생성된다.
S3로부터 복원하기 - S3에서 MySQL DB를 복원할 수도 있다. 예를 들어 온프레스 DB의 백업을 생성한 다음 S3에 보낸 후, RDS에서 이 백업 파일을 받아 복원할 수 있게 된다.
S3로부터 Aurora DB 복원하기 - 외부적으로 Percona XtraBackup 이라는 소프트웨어를 통해서만 온프레미스에 있는 DB를 백업할 수 있다. 이 과정은 Percona XtraBackup 이라는 소프트웨어의 백업 파일을 S3로 보내어, 거기서 백업을 복원해야 한다. 기존 RDS와의 차이점은 일반 RDS의 경우 DB의 백업만 있으면 되었지만 Aurora 에서는 Percona XtraBackup 으로 백업을 한 다음 S3에서 DB클러스터로 백업을 해야 한다는 점이다.

Aurora DB 복제 (Aurora DB cloning)

기존 DB 클러스터에서 새로운 Aurora DB 를 생성할 수 있다. 예를 들어 Aurora 프로덕션 DB가 있고 , 거기서 테스트를 실행하고 싶을 때

데이터를 복사하고 싶을 것이다. 이 경우 프로덕션 Aurora DB를 복제하여 새 DB가 생성될 수 있다. 이 과정은 스냅샷을 찍고 복원하는 것보다 빠르다. 이는 copy-on-write 방식으로 운용되어 속도 뿐 아니라 프로덕션 데이터베이스에 영향을 주지 않으므로 복제하는데 매우 유용하다.

📌 RDS - Security

RDS 및 Aurora DB에 저장된 데이터를 암호화 할 수 있다. 이는 데이터가 볼륨에 암호화 된다는 뜻이며 KMS를 사용해 마스터와 모든 복제본의 암호화를 할 수 있다. 암호화는 DB를 처음 실행할 때만 정의할 수 있으며 어떤 이유에서든 마스터 DB를 암호화하지 않았다면 읽기 전용 복제본 또한 암호화 될 수 없다. 하지만 이런 경우는 저장 데이터 암호화(at-rest encryption)을 통해 이 제한을 파훼할 수 있다. 이 외에도 더 많은 암호화에 대해서 알아보자.

저장 데이터 암호화(at-rest encryption) - 암호화 되어있지 않은 기존 DB를 암호화 하려면 암호화 되지 않은 DB의 스냅샷을 암호화하여 DB 형태로 복원하는 방법으로 이 과정을 거치면 암호화되지 않은 DB도 암호화 할 수 있다.
전송 중 데이터 암호화 (In-flight encryption) - RDS 및 Aurora의 각 DB는 기본적으로 전송 중 데이터 암호화 기능을 갖추고 있다. 따라서 클라이언트는 AWS 웹사이트에서 제공하는 AWS의 TLS 루트 인증서를 사용해야 한다.
IAM 인증 (IAM Authentication) - RDS의 Aurora 이므로 사용자 이름과 패스워드라는 전통적인 조합을 사용할 수도 있지만 IAM 역할을 사용해서 DB에 접속할 수도 있다. 예를 들어 EC2 인스턴스에 IAM Role 이 있다면 이를 이용해 사용자 이름이나 패스워드 없이 직접 DB를 인증할 수 있다.
보안 그룹(Security Group) - 보안 그룹을 사용해 특정 포트, IP, 보안 그룹을 허용하거나 차단함으로써 네트워크 액세스를 통제할 수도 있다.
SSH 접근 불가 (No SSH avilable) - RDS 커스텀 서비스는 SSH 접근이 가능하지만 RDS와 Aurora는 SSH 접근이 불가능 하므로 이를 통해 보안을 강화할 수 있다.
감사 로그 활성화 (Audit Logs can be enabled ) - 감사 로그를 활성화하여 시간에 따라 어떤 쿼리가 실행되었는지 확인하여 보안을 강화할 수 있다.

📌 RDS - Proxy

Amazon RDS 프록시를 사용하면 앱이나 DB 내에서 DB 연결 풀을 형성하고 공유할 수 있다. 앱을 RDS 데이터베이스 인스턴스에 일일이 연결하는 대신 프록시에 연결하면 프록시가 하나의 풀에 연결을 모아 RDS 인스턴스로 가는 연결이 줄어든다. RDS 데이터베이스 인스턴스에 연결이 많은 경우 CPU와 RAM 등 데이터베이스 리소스의 부담을 줄여 DB 효율성을 향상 시킬 수 있고 DB에 개방된 연결과 시간초과를 최소화 할수 있기 때문이다.

RDS 프록시는 완전한 서버리스로 오토 스케일링이 가능해 용량을 관리할 필요 없고 다중 AZ를 지원해 가용성이 높다. 뿐만 아니라, RDS 인스턴스에 장애 조치가 발생하면 기본 인스턴스가 아니라 대기 인스턴스로 실행되며 RDS 프록시 덕분에 RDS와 Aurora의 장애 조치 시간을 66%까지 줄일 수 있다. RDS 프록시는 MySQL, PostgreSQL, MariaDB용 RDS, Aurora 등을 지원하며, 애플리케이션의 코드 변경 없이 RDS 인스턴스나 Aurora 데이터베이스에 RDS 프록시만 연결하면 되기 때문에 아주 편리하다.

RDS 프록시를 사용하면 DB에 IAM 인증을 강제함으로써 보안을 강화할 수 있다. RDS 프록시는 퍼블릭 액세스가 절대로 불가능므로 VPC 내에서만 액세스 할 수 있는데 인터넷을 통해 RDS 프록시에 연결할 수 없으니 보안이 철저해진다.